玄武阿图因（Atuin）自动化漏洞挖掘引擎发现零知识证明库 gnark 的签名可锻造性漏洞

Author: Guancheng Li, Xiaolin Zhang of Tencent Xuanwu Lab

近日，玄武实验室自主研发的阿图因（Atuin）自动化漏洞挖掘引擎，在零知识证明库 gnark 的 EdDSA 与 ECDSA 签名验证功能中发现一处高危漏洞（CVE-2025-57801，CVSS Score 8.6），该漏洞允许攻击者在不获取私钥的前提下针对同一条消息构造新的有效签名并通过验证。漏洞的验证工作由玄武实验室联合上海交通大学 GOSSIP 实验室与郁昱教授团队共同完成。值得注意的是，尽管 gnark 在其官方 README 中宣称已接受完整审计，阿图因引擎仍成功识别出这一漏洞，展现出人类专家级的自动化漏洞挖掘能力。